Link Aggregation Group，LAG，聚合组
LAG，是指若干条链路捆绑在一起所形成的的逻辑链路。
每个聚合组唯一对应着一个逻辑接口，这个逻辑接口又被称为链路聚合接口（Eth-Trunk接口）
链路聚合模式：Manual Mode、LACP Mode
根据是否开启 LACP（Link Aggregation Control Protocol，链路聚合控制协议），链路聚合分为：Manual Mode；LACP Mode；
LACP Mode，能够实现：部分接口进行数据转发；部分接口进行备份，以用于故障切换； Manual Mode，所有接口都出于转发状态，无法像 LACP Mode 那样选择用于转发的链路；
成员接口，成员链路
组成 Eth-Trunk 接口的各个物理接口称为成员接口。
成员接口对应的链路，称为成员链路。
活动接口，活动链路，非活动接口，非活动链路
活动接口又叫选中（Selected）接口，是参与数据转发的成员接口。
活动接口对应的链路，被称为活动链路（Active link）。
非活动接口：又叫非选中（Unselected）接口，是不参与转发数据的成员接口。
非活动链路（Inactive link）：非活动接口对应的链路
活动接口阈值
在 LACP Mode 中， 1）活动接口上限阈值：活动端口的最大数量； 2）活动接口下限阈值：活动端口的最少数量；低于该数量，将停止转发（此时即使存在正常链路，也无法转发数据）
在广域网中，需要使用该特性：需要部分链路出于备份状态（可能备份链路性能低，仅用于短暂的备份目的）；
数据流控制
两端接口数量、速率、双工方式、流控速率必须相同。
负载分担模式
基于包的负载分担
同源数据帧乱序问题：在使用Eth-Trunk转发数据时，由于聚合组两端设备之间有多条物理链路，如果每个数据帧在不同的链路上转发，则有可能导致数据帧到达对端时间不一致，从而引起数据乱序。
基于流的负载分担
Eth-Trunk 推荐采用逐流负载分担的方式，即一条相同的流负载到一条链路，这样既保证了同一数据流的数据帧在同一条物理链路转发，又实现了流量在聚合组内各物理链路上的负载分担。
Eth-trunk支持基于报文的IP地址或MAC地址来进行负载分担，可以配置不同的模式（本地有效，对出方向报文生效）将数据流分担到不同的成员接口上。
常见的模式有：S-IP、S-MAC、D-IP、D-MAC、S-D-IP、S-D-MAC。
在实际业务中，用户需要根据业务流量特征选择配置合适的负载分担方式。业务流量中某种参数变化越频繁，选择与此参数相关的负载分担方式就越容易实现负载均衡[……]

READ MORE

什么是网卡绑定？
通过把多张物理网卡绑定为一张逻辑网卡，实现本地网卡的冗余、带宽扩容、负载均衡等功能；
网络绑定通过增加网络吞吐量和带宽来提供性能改进和冗余。如果一个接口关闭或拔掉插头，另一个接口将工作。它可用于需要容错，冗余或负载平衡网络的情况；
网卡绑定七种模式
在 Linux 中，一个名为 bonding 的特殊内核模块用于将多个网络接口连接到一个接口。两个或多个网络接口可以连接到单个逻辑“绑定”接口。绑定接口的行为取决于所使用的绑定方法的类型（7 种模式）；
bond0(balance-rr)
这种 NIC 组合的方法称为“循环”(Round-Robin)，因此名称中会有“rr”；
所谓“循环”就是网卡轮流发送数据包。例如，在该模式下有 eth0、eth1、eth2 三张网卡都属于 bond0 接口，在发送数据包的时候，第一个数据包由 eth0 发出，第二个数据包由 eth1 发出，第三个数据包由 eth2 发出，然后在第 4 个数据包的 eth0 处发回；
注意：该方式需要配置交换机；
bond1(active-backup)
主备模式；
该模式下，只有一个网口是活动状态的，称之为“主网口”，另外一个网口是备用状态，称之为“备网口”。当主网口出现故障后，自动切换到备用网口进行工作；
注意：该模式不需要配置交换机；
bond2(balance-xor)
在一个 balance-xor 模式下，Bond 设备将评估来源和目标 MAC 地址，以确定使用哪个接口发送网络数据包。此方法将为给定的 MAC 地址选择相同的接口，因此能够进行负载平衡和容错；
注意：该方式需要配置交换机；
bond3(broadcast)
在这种方法中，Bond 设备将把数据包从所有的接口中传输出去，因此是这种特定绑定方法称为“广播”。这种方法的用途非常少，但确实提供了一定程度的容错性；
注意：该方式需要配置交换机；
bond4(802.3ad)
LACP
这是一种链路聚合的特殊绑定方法，需要特定的绑定接口所连接的交换机进行特殊配置。该方法遵循 IEEE 标准进行链路聚合，并提供容错和增加的带宽；
注意：该方式需要配置交换机；
bond5(balance-tlb)
在 TLB 中，将正常接收从属接口上的数据包，但是当系统需要发送数据包时，将根据每个接口的负载 / 队列情况来确定哪个接口最适合传输数据；
注意：该模式不需配置交换机；
bond6(balance-alb)
类似于模式 5，但是新增了接收数据包的负载均衡能力；
注意：该模式不需要配置交换机；
注意事项
balance-rr[……]

READ MORE

e-trunk 使得 eth-trunk 能够跨越设备
在 E-Trunk 中，缺省主备模式（单活），需要配置双活（配置 ESI 相同，以防止 BUM 环路）；[……]

READ MORE

LACP Mode，是指采用 LACP（IEEE 802.3ad）协议的一种链路聚合模式。设备间通过 LACPDU（链路聚合控制协议数据单元，Link Aggregation Control Protocol Data Unit，LACPDU）进行交互，通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口；

在 LACPDU 中，包含设备优先级、MAC 地址、接口优先级、接口号等等：
第一步、确定主动端
在 LACP Mode 下，两端设备所选择的活动接口数目必须保持一致，否则链路聚合组就无法建立。此时可以使其中一端成为主动端，另一端（被动端）根据主动端选择活动接口；
确定主动端的方法： 1）通过 System Priority 确定主动端，值越小优先级越高。默认 32768，越小越优，通常保持默认； 2）当优先级一致时，LACP 会通过比较 MAC Address 选择主动端，MAC 地址越小越优；
注意事项，虽然我们说“主动端”“被动端”，但是这并不是 LACP 定义的术语。两端同时使用 LACPDU 进行交互，当各自收到报文后，根据协议算法 ，明确自己的角色，然后开始进行相应动作；
第二步、确定活动链路
当确定主动端后，将根据主动端来选择活动接口，被动端将根据主动端来被动设置活动端口；
确定活动端口的方法： 1）通过 Port Priority 比较，以确定活动接口。默认为 32768，越小越优，通常保持默认； 2）当 Port Priority 一致时，将通过 Port Number 选择活动接口，越小越优；
第三步、通知被动端
被动端交换机，只能根据主动端发来的 LACPDU 报文，来被动接收设置；
至此，Eth-Trunk 的活动链路选举过程完成；
最大活动接口数
LACP-Mode 支持配置最大活动接口数目，当成员接口数目超过最大活动接口数目时会通过比较接口优先级、接口号选举出较优的接口成为活动接口，其余的则成为备份端口（非活动接口），同时对应的链路分别成为活动链路、非活动链路。交换机只会从活动接口中发送、接收报文；
当活动链路中出现链路故障时，可以从非活动链路中找出一条优先级最高（接口优先级、接口编号比较）的链路替换故障链路，实现总体带宽不发生变化、业务的不间断转发；[……]

READ MORE

手工模式： Eth-Trunk的建立、成员接口的加入均由手动配置，双方系统之间不使用LACP进行协商。
正常情况下所有链路都是活动链路，该模式下所有活动链路都参与数据的转发，平均分担流量，如果某条活动链路故障，链路聚合组自动在剩余的活动链路中平均分担流量。
当聚合的两端设备中存在一个不支持 LACP 协议时，可以使用手工模式。
问题缺陷
1）为了使链路聚合接口正常工作，必须保证本端链路聚合接口中所有成员接口的对端接口：属于同一设备；加入同一链路聚合接口。手工模式下，设备间没有报文交互，因此仅能通过管理员人工确认。
2）在手动模式下，设备仅能通过物理层状态，来判断对端接口是否正常工作。 —- 当接口处于假死状态，虽然链路 UP 状态，但是数据依据无法正常转发。[……]

READ MORE

[……]

READ MORE

解决方案
系统环境：Debian 网络绑定模式：Mode=1(active-backup)
安装ifenslave包

apt-get install ifenslave-2.6

加载内核的bonding模块
如果要使用网络绑定功能，内核需要加载bonding模块。执行命令：

# 加载 bonding 模块
# 在正常情况下，执行该命令是没有输出的；
# 如果输出 modprobe: ERROR: could not insert ‘bonding’: Module already in kernel 表示模块已加载；
modprobe –first-time bonding

# 持久化配置，即在重启主机时会自动加载bonding模块：
echo ‘bonding’ >> /etc/modules

创建网络绑定接口（bond0）
这一步配置bond0接口。需要编辑/etc/network/interface，该文件包含了系统连接的所有网络设备的网络接口的设置信息。创建bond0接口的配置如下：

# vim /etc/network/interface
# 系统启动时自动初始化bond0。由于暂时不需要自动启动，所以注释调了。
# auto bond0

# 定义bond0，并从DHCP获取IP地址
iface bond0 inet dhcp
# 设置bond模式为1；
bond-mode 1
# 指定主网口；
bond-primary wlan0
# 声明所属bond的网口；
bond-slaves wlan0 wlan1
# 告诉内核每100毫秒检查一次链路状态
bond-miimon 100
# 关闭当前活跃网口前等待的时间；
bond-downdelay 400
# 使用新网口等待的时间；
bond-updelay 800

# 注意事项：
# downdelay和updelay必须是miimon的倍数

启动bond0网口
首先，如果要启动bond0网口，记住一定要先down掉从网卡，在这个例子中我们要donw调wlan0、wlan1，命令如下：

ifconfig wlan0 down
ifconfig wlan1 down

# 如果你在/etc/network/interfaces中配置了wlan0与wlan1，那么可以使用ifdown命令：
ifdown wlan0
ifdown wlan1

然后，执行如下命令来启动bond0接口：

ifup b[……]

READ MORE

使用NetworkManager来配置
创建Team接口
添加网络绑定接口team0，并添加eth0、eth1这两个从属网口：

nmcli connection add type team con-name team0 ifname team0 config team1-master-json.conf
nmcli connection add type team-slave con-name team0-slave0 ifname eth0 master team0
nmcli connection add type team-slave con-name team0-slave1 ifname eth1 master team0

配置Team接口
配置网络绑定接口team0，并激活：

nmcli connection modify team0 ipv4.address 172.16.1.65/24 ipv4.method manual
nmcli connection up team0

查看Team接口状态
查看网卡team0的绑定状态：

teamdctl team0 state

参考文献
参数team1-master-json.conf[……]

READ MORE

解决方案

Smart Link是一种为双上行组网量身定做的解决方案： 1）在双向行的设备上部署，当网络正常时，两条上行链路中，一条处于活跃状态，而另条则处于备份状态（不承载业务流量）。如此一来二层环路就此打破。 2）当主用链路发生故障后，流量会在毫秒级的时间内迅速切换到备用链路上，保证数据的正常转发。 3）Smart Link配置简单，便于用户操作。 4）无需协议报文交互，收敛速度及可靠性大大提升。
参考文献
Smart Link[……]

READ MORE

问题描述
随着企业的发展，企业网络的规模越来越大，这对企业网络提出了更高的要求：更高的可靠性、更低的故障恢复时间、设备更加易于管理等。
传统的园区网高可靠性技术出现故障时切换时间很难做到毫秒级别、实现可靠性的方案通常为一主一备，存在着严重的资源浪费。同时随着网络设备的越来越多，管理将会变得越加复杂。
传统 STP 组网，两台汇聚交换机分别与接入层交换机构成三角形的二层环路，因此必须部署 STP 协议以消除环路。但是 STP 将阻塞网络中的接口，造成链路带宽无法充分利用。
解决方案
为构建可靠、易管理、资源利用率高、易于扩展的交换网络，引入交换机堆叠（Stack）、集群（CSS）技术。
注意事项 1）CSS 与 iStack 是华为命名。在思科中，采用其他命名。 2）该笔记将采用华为术语来记录笔记；
原理简述
Intelligent Stack，iStack

解释： 堆叠（iStack，Intelligent Stack）：将多台支持堆叠特性的交换机，通过堆叠线缆连接在一起，从逻辑上变成一台交换设备，作为一个整体参与数据转发。
场景： iStack 针对华为盒式交换机。
Cluster Switch System，CSS

解释：CSS（Cluster Switch System，集群交换机系统），又称为集群，是指将两台支持集群特性的交换机设备组合在一起，从逻辑上组合成一台交换设备。
范围： CSS 针对华为框式交换机，且仅支持两台设备。
特性说明

性能提升
使用堆叠、集群可有效提高资源利用率，获得更高的转发性能、链路带宽。 1）核心设备虚拟化为一台逻辑设备，同时转发流量。 2）汇聚到核心的所有链路使用链路聚合进行捆绑，均参与流量转发。 3）设备、链路利用率高。
性能提升：通过交换机堆叠，设备同时工作，充分提高链路带宽利用率，能够实现网络大数据量转发；
增强冗余
一台物理设备故障，其他设备可以接管转发、控制平台，避免了单点故障。 1）单台设备故障、链路故障不影响业务转发，流量将会被链路聚合负载分担到其他链路。 2）业务几乎感知不到中断。 提高冗余：冗余设备能够增加网络高可靠性；
简化管理
交换机多虚一：堆叠交换机对外表现为一台逻辑交换机，控制平面合一，统一管理，简化运维，方便管理。
逻辑设备之间使用链路聚合，无需再部署STP、VRRP。 降低了网络规划复杂度、设备配置复杂度 只需管理虚拟化之后的逻辑设备
转发平面合一：堆叠内物理设备转发平面合一，转发信息共享并实时同步。 1）交换机内部的表能够进行实时同步
跨设备链路聚合：跨物理设备的链路被聚合成一个Eth-Trunk端口，和[……]

READ MORE

概述介绍
集群交换机系统CSS（Cluster Switch System），又称为集群，是指将两台支持集群特性的交换机设备组合在一起，从逻辑上虚拟成一台交换设备。
CSS 与 iStack 的区别在于：框式交换机堆叠称为 CSS；盒式交换机称为 iStack；堆叠与集群两者只是叫法和实现有些差异，但是功能是一样的。
集群特点： 1）集群内物理设备转发平面合一，转发信息共享并实时同步。 2）集群交换机对外表现为一台逻辑交换机，控制平面合一，统一管理。 3）跨集群内物理设备的链路被聚合成一个 Eth-Trunk 端口和下游设备实现互联。
Switch Roles（交换机角色）
集群中的单台交换机称为集群成员交换机
按照功能不同，可以分为两种角色： 1）主交换机（Master）：主交换机，即Master，负责管理整个集群。 2）备交换机（Standby）：备交换机，即Standby，是主交换机的备份交换机。当主交换机故障时，备交换机会接替原主交换机的所有业务。集群中只有一台备交换机。
CSS 仅支持两台框式交换机，所以仅有两种角色。
CSS ID（集群 ID）
用来标识成员交换机，在集群中成员交换机的 CSS ID是唯一的。
缺省情况下，交换机的 CSS ID为 1。相同ID的两台交换机不能建立集群，所以在建立集群前，需要手工配置集群中一台交换机的集群ID为2。
CSS Link（集群链路）
组建集群的交换机需要互联，该互联的链路被称为集群链路，专门用于组建集群，实现主交换机和备交换机之间数据通信。
集群链路可以是一条链路，也可以是捆绑在一起的多条链路。
CSS Priority（集群优先级）
即主要用于角色选举过程中确定成员交换机的角色。优先级值越大优先级越高。
交换机的集群优先级越高当选为主交换机的可能性越大，但选举主交换机比较的不止优先级。

集群控制平面
两台交换机使用集群线缆连接好，分别使能集群功能并完成配置后重启，集群系统会自动建立。
当集群系统建立后，在控制平面上： 1）Master Switch 的 主用主控板 成为集群系统的控制平面，作为整个系统的管理主角色。 2）Standby Switch 的 主用主控板 成为集群系统的备用控制平面，作为系统的管理备角色。 3）Master Switch 和 Standby Switch 的备用主控板作为集群系统候选备用主控板。

集群选举规则
主交换机选举规则与堆叠选举规则一致，另外一台交换机则是备交换机。
集群物理连接
根据集群技术发展阶段不同，集群物理连接方式也存在区别： 1）传统 CSS：使用主控板上的集群卡建立集群连接；或使用业务[……]

READ MORE

集群配置

// 配置交换机的集群 ID
// 缺省情况下，交换机的集群ID都为1，所以在建立集群前，需要手工配置集群中一台交换机的集群ID为2，相同ID的两台交换机不能建立集群。
[Huawei] set css id <new-id>

// 配置设备的集群优先级
// 缺省情况下，设备的集群优先级为1。
[Huawei] set css priority priority

// 设置设备的集群连接方式
// 缺省情况下设备的集群连接方式与设备型号相关。
[Huawei] set css mode { lpu | css-card }

// 创建集群逻辑接口，绑定物理成员端口到堆叠接口中
// 配置业务口为物理成员端口，并将物理成员端口加入到逻辑集群端口中。
[Huawei] interface css-port port-id
[Huawei-css-port1] port interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> enable

// 使能交换机集群功能
// 缺省情况下，交换机的集群功能未使能，使能集群功能后，系统会提示立即重启使配置生效。需要在两台成员交换机上分别使能集群功能。
[Huawei] css enable

// 集群的MAD检测功能，配置方式、配置命令与堆叠一致。
// 略……[……]

READ MORE

Switch Roles（交换机角色）
在堆叠系统中，所有的单台交换机都称为成员交换机，按照功能不同，可以分为三种角色： 1）主交换机（Master Switch）：负责管理整个堆叠，在堆叠系统中只有一台 Master Switch； 2）备交换机（Standby Switch）：是 Master Swtich 的备份交换机，以在故障时替换 Master Switch 的所有业务。在堆叠系统中只有一台 Standby Switch； 3）从交换机（Slave Switch）：负责业务转发，在堆叠系统中可以有多台 Slave Switch。从 Slave Switch 数量越多，堆叠系统的转发带宽越大。除 Master Switch 和 Standby Switch 外，堆叠中其他所有的成员交换机都是 Slave Switch。当 Standby Switch 不可用时，Slave Switch 承担备交换机的角色。

Stack Priority（堆叠优先级）
堆叠优先级是成员交换机的一个属性，主要用于角色选举过程中确定成员交换机的角色。
优先级值越大表示优先级越高，优先级越高当选为 Master Switch 的可能性越大。
Stack ID（堆叠 ID）
Stack ID，用来标识和管理成员交换机，堆叠中所有成员交换机的 Stack ID 都是唯一的。
设备 Stack ID 缺省为 0。在堆叠时，由 Master Switch 对设备的 Stack ID 进行管理。当堆叠系统有新成员加入时，如果新成员与已有成员 Stack ID 冲突，则堆叠主交换机从 0～最大的 Stack ID 进行遍历，找到第一个空闲的ID分配给该新成员。
在建立堆叠时，建议提前规划好设备的 Stack ID 。
当堆叠后，设备的槽位号（Slot ID）将从 0 变为 Stack ID 值：

堆叠系统MAC地址
堆叠系统作为一台设备与网络中其他设备通信，具有唯一的MAC地址，称为堆叠系统MAC地址。
通常情况下使用 Master Switch 的MAC地址作为堆叠系统MAC地址。
当堆叠系统的MAC地址是主交换机的MAC地址，主交换机故障或者离开堆叠系统，在默认情况下堆叠系统 MAC 地址会延时10分钟切换。如果发生堆叠分裂，那么在10分钟内两个分裂的堆叠系统的MAC相同。
堆叠方式
堆叠卡堆叠
使用专用的堆叠插卡或者交换机自身集成的堆叠插卡，使用专用的堆叠线缆进行堆叠。

业务口堆叠
交换机之间使用逻辑堆叠接口（stack-port）相连，可使用普通线缆网线、光纤或者专用堆叠线缆连接物理成员端口。

堆叠逻辑接口
多[……]

READ MORE

配置命令

// 配置设备的堆叠ID
// 缺省情况下，设备的 Stack ID为 0；修改后的堆叠ID在保存当前配置，并重启之后才会生效。
[Huawei] stack slot slot-id renumber new-slot-id

// 配置设备的堆叠优先级
// 缺省情况下，成员交换机的堆叠优先级为100。
[Huawei] stack slot <slot-id> priority priority

// 创建堆叠逻辑接口，绑定物理成员端口到堆叠接口中
// Member-id为设备的堆叠ID，port-id为本地的堆叠逻辑接口编号，只能为 1 或者 2；
[Huawei] interface stack-port member-id/port-id
[Huawei-stack-port0/1] port interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10> enable

// 堆叠主备倒换
[Huawei] slave switchover

多主检测

// 配置直连方式多主检测
// 在接口视图下配置接口的直连多主检测功能。
[Huawei-GigabitEthernet0/0/1] mad detect mode direct

代理方式多主检测，当代理设备为一台交换机时：

// 在堆叠系统上
// 在与代理设备互联的Eth-Trunk中开启MAD检测。
[Huawei] interface eth-trunk trunk-id
[Huawei-Eth-Trunk1] mad detect mode relay

// 在代理设备上
// 代理设备 与 堆叠系统 互联的Eth-Trunk中开启MAD代理。
[Huawei] interface eth-trunk trunk-id
[Huawei-Eth-Trunk1] mad relay

// 配置堆叠系统MAC地址切换时间
// 缺省情况下，系统MAC地址的切换时间为10分钟，堆叠系统MAC地址切换时间设置为0时，表示不切换，执行undo stack timer mac-address switch-delay命令表示立即切换。
[Huawei] stack timer mac-address switch-delay delay-time

// 清除堆叠的所有配置。执行该命令后会导致原有堆叠系统分裂，设备重启。
// 执行该命令将清除堆叠的所有配置，包括：交换机槽位号、堆叠优先级、堆叠保留VLAN、系统MAC切换时间、堆叠口配置、堆叠口速率配置。例如，交[……]

READ MORE

跨设备链路聚合
堆叠支持跨设备链路聚合技术，堆叠后成为逻辑上的一台交换机，支持将Eth-Trunk的成员接口分布在不同的成员交换机上。
当其中一条聚合链路故障或堆叠中某台成员交换机故障时，Eth-Trunk接口通过堆叠线缆将流量重新分布到其他聚合链路上，实现了链路间和设备间的备份，保证了数据流量的可靠传输。
正常的数据转发
当链路、堆叠设备正常时，数据转发情况：
故障的数据转发

在上行链路出现故障时跨设备链路聚合技术能够通过堆叠线缆将流量负载分担到其他成员交换机上的成员接口，从而提高网络可靠性。
流量本地优先转发
问题描述
链路聚合的负载分担算法根据流量特征将报文分担在不同的成员链路上，对于跨设备链路聚合极有可能出现报文的出接口和入接口不在同一台成员设备之上的情况，此时堆叠成员之间将会通过堆叠线缆转发流量，这增加了堆叠线缆的流量负担，同时也降低了转发效率。

如上图所示，当链路聚合将流量分担到其他成员设备上时，部分流量将会经过堆叠线缆转发，这会大大增加堆叠线缆的带宽承载压力。如果通过堆叠线缆需要转发的流量甚至超过堆叠线缆的带宽，报文将无法及时得到传输。
解决方案
为保证流量转发效率、降低堆叠线缆带宽负载，设备可以开启流量本地优先转发，从本设备进入的流量优先从本地转发出去，当本设备无出接口或者出接口全部故障，才会从其它成员交换机的接口转发出去。

在缺省情况下，流量本地优先转发功能处于使能状态（具体参考设备文档）：

[Stack] interface eth-trunk 10
[Stack-Eth-Trunk10] local-preference enable[……]

READ MORE

问题描述
堆叠分裂
在稳定运行的堆叠系统中，带电移出部分成员交换机（或者堆叠线缆多点故障）导致堆叠系统变成多个堆叠系统。
分裂后主备仍在一个堆叠系统中；与原主备分离的从交换机因协议报文超时重新选举； 分裂后主备处于两个堆叠系统中；原主交换机所处堆叠系统更新拓扑，重新指定备交换机。原备交换机在新的堆叠系统中升为主，同时选举新的备交换机。

堆叠分裂引起的问题
由于堆叠系统中所有成员交换机都使用同一个IP地址（VLANIF接口地址）和MAC地址（堆叠系统MAC），一个堆叠系统分裂后，可能产生多个具有相同IP地址和MAC地址的堆叠系统，从而引起网络故障，为此必须进行IP地址和MAC地址的冲突检查。
具体故障场景：比如，在部署堆叠时，通常不会部署 STP，那么出现堆叠分列时，交换网络极其可能出现环路。
解决方案
多主检测，MAD，Multi-Active Detection：一种检测和处理堆叠分裂的协议，链路故障导致堆叠系统分裂后，MAD 可以实现堆叠分裂的检测、冲突处理和故障恢复，降低堆叠分裂对业务的影响。
原理简述
MAD，需要中间设备的参与（或者说，要互联，否则两个分裂后的堆叠系统是无法完成检测的）。
当堆叠分裂后： 1）堆叠系统通过 MAD 检测线缆（是普通线缆，但手动配置为 MAD 检测链路）发送 MAD 检测报文进行竞选 2）竞选失败的堆叠系统会关闭所有的物理端口（手动配置的保留端口除外），以保证不会因IP、MAC冲突对业务产生影响。

检测方式
直连检测方式和代理检测方式。在同一个堆叠系统中，两种检测方式互斥，不可以同时配置。
直连检测
直连检测方式是指堆叠成员交换机间通过普通线缆直连的专用链路进行多主检测。在直连检测方式中，堆叠系统正常运行时，不发送 MAD 报文；堆叠系统分裂后，分裂后的两台交换机以 1 秒为周期通过检测链路发送MAD报文进行多主冲突处理。
通过中间设备直连，可以实现通过中间设备缩短堆叠成员交换机之间的检测链路长度，适用于成员交换机相距较远的场景。 Full-mesh 方式直连（与通过中间设备直连相比）可以避免由中间设备故障导致的MAD检测失败，但是每两台成员交换机之间都建立全连接会占用较多的接口，所以该方式适用于成员交换机数目较少的场景。
通过中间设备的直连检测：所有堆叠设备，通过普通线缆与中间交换机直连：
通过 Full-Mesh 方式直连：堆叠系统的各成员交换机之间通过检测链路建立Full-mesh全连接，即每两台成员交换机之间至少有一条检测链路。
代理检测
代理检测方式是在堆叠系统 Eth-Trunk 上启用代理检测，在代理设备上启用MAD检测功能。此种检测方式要求堆叠系统中的[……]

READ MORE

堆叠初时阶段
物理连接
选择适当的连接方式和连接拓扑，组建堆叠网络。
确定出堆叠的连接方式和连接拓扑，完成成员交换机之间的物理连接之后，所有成员交换机上电。
主交换机选举
当所有成员交换机上电后，堆叠系统开始进行主交换机的选举。 成员交换机之间相互发送堆叠竞争报文，并根据选举原则，选出堆叠系统主交换机。
1）运行状态比较，已经运行的交换机比处于启动状态的交换机优先竞争为主交换机。堆叠主交换机选举超时时间为20s，堆叠成员交换机上电或重启时，由于不同成员交换机所需的启动时间可能差异比较大，因此不是所有成员交换机都有机会参与主交换机的第一次选举。 2）堆叠优先级高的交换机优先竞争为主交换机 3）当堆叠优先级相同时，MAC Address 小的交换机优先竞争为主交换机
拓扑收集和备交换机选举
主交换机收集所有成员交换机的拓扑信息，向成员交换机分配堆叠ID，之后选出堆叠系统备交换机。
主交换机选举完成后，主交换机会收集所有成员交换机的拓扑信息，并向所有成员交换机分配 Stack ID，之后进行备交换机的选举。
备交换机的选举规则如下（依次从第一条开始判断，直至找到最优的交换机才停止比较）： 1）除主交换机外最先完成设备启动的交换机优先被选为备份交换机。当除主交换机外其它交换机同时完成启动时， 2）堆叠优先级最高的交换机成为备交换机 3）堆叠优先级相同时，MAC地址最小的成为备交换机
软件和配置同步
主交换机将堆叠系统的拓扑信息同步给所有成员交换机，成员交换机同步主交换机的系统软件和配置文件，之后进入稳定运行状态。
软件同步： 堆叠具有自动加载系统软件的功能，待组成堆叠的成员交换机不需要具有相同软件版本，只需要版本间兼容即可。 当备交换机或从交换机与主交换机的软件版本不一致时，备交换机或从交换机会自动从主交换机下载系统软件，然后使用新系统软件重启，并重新加入堆叠。
配置同步： 堆叠具有配置文件同步机制，备交换机或从交换机会将主交换机的配置文件同步到本设备并执行，以保证堆叠中的多台设备能够像一台设备一样在网络中工作，并且在主交换机出现故障之后，其余交换机仍能够正常执行各项功能。
堆叠成员加入
解释：堆叠成员加入，指向已经稳定运行的堆叠系统添加一台新的交换机；
1）堆叠角色变迁：选举将未上电的交换机，先连线加入堆叠后，再上电启动，新加入的交换机会选举为 Slave Switch；在堆叠系统中，原有主备从角色不变； 2）主交换机活动：当角色选举结束后，Master Switch 更新堆叠拓扑信息，同步到其他成员交换机上，并向新交换机分配 Stack ID（新交换机未配置 Stack ID；或配置的 Stack ID 与现堆叠系统的 Stack ID 冲突时）。[……]

READ MORE

解决方案
高可靠性的解决方案包括： 1）不间断转发（Non-Stopping Forwarding，NSF） 2）不间断路由（Non-Stopping Routing，NSR）
NSR vs GR
在主备倒换端，系统支持 NSR 和 GR 两种不同的高可靠性保护。
但 NSR 和 GR 是互斥的，即：对于特定协议，当系统倒换后，只能采用 NSR 或 GR 两种处理方式的一种；当然不同的协议，能够采用不同的方式；
当设备在部署 NSR 时，仍然可以支持 GR Helper 的功能，以支持自己的邻居 GR 过程，最大可能的保证用户全网网络节点业务的高可靠性；
应用场景
当网络对丢包的要求、对路由收敛的速度的要求都比较低时，可以使用NSF功能。 当网络对丢包的要求、对路由收敛的速度的要求都比较高时，可以使用NSR功能。[……]

READ MORE

通过协议的 GR 机制，支持系统主备倒换时，转发业务不中断： 1）当由于某种原因系统发生故障时，在系统重启过程中，转发平面（业务）不中断。 2）当系统恢复后，设备能够重新建立邻居关系，从邻居处获取路由信息并重建路由表。
例如 OSPF GR 技术；[……]

READ MORE

解决方案
NSR 是在有 AMB 和 SMB 的设备上， AMB 发生故障时不影响邻居关系的一种可靠性技术。
原理简述
在设备发生倒换的过程中，路由处理不中断，因为：（1）邻居和拓扑信息不丢失；（2）邻居关系不中断；
特性特征
通过协议备份机制，实现主备倒换时控制平面（路由）和转发平面（业务）均不中断。
不依赖也不影响对端设备，没有互通问题； 路由的收敛速度要比 NSF 快；
应用场景
系统级 NSR 功能触发情况： 1）系统故障触发主备倒换。 2）软件升级或系统维护时网络管理员手动触发主备倒换。
原理概述
说明：NSR 对 OSPF、IS-IS、BGP 等协议的实现原理相同，我们以 OSPF 协议为例。

1）在控制平面中，路由协议实时备份路由信息； 2）硬件通道感知 AMB 异常，通知 SMB 升主，同时切换接口板上送报文通道；
NSR 原理主要包括以下三个过程：
批量备份
NSR 功能使能后，备板重启时， AMB 将路由信息和转发信息批量备份到 SMB 上。批量备份过程在实时备份过程之前进行，此时NSR无法实施主备倒换过程。
NSR功能使能后，备板重启时， AMB 上的业务进程会收到 SMB 上线的消息。业务进程开始进行内部数据的批量备份。 1）当批量数据备份完毕时，系统进入冗余保护状态。进入该状态后，如果主控板出现故障，备板升主后就可以利用之前从主板备份过来的数据进行升主，恢复业务。 2）当批量数据备份未完时，主控板故障，备板升主后可能会因为业务数据不全而导致无法升主，因此这个种状态下无法完成NSR倒换，设备会整机重启，恢复故障前状态。

1）备板启动完成。 2）各业务进程通过 HA 通道开始批量备份路由等业务数据，系统进入批量备份阶段。 3）业务进程全部批量备份完成后，系统进入冗余保护状态。
实时备份
当批量备份过程结束后，系统进入实时备份阶段。任何在控制平面和转发平面的改变（邻居状态或路由信息发生变化），都将实时从 AMB 备份到 SMB 上。在该阶段， SMB 能够随时代替 AMB 工作。

1）邻居状态变化或路由变化。 2） AMB 将变化信息通过HA通道备份到 SMB 。 3） SMB 答复 AMB 确认信息。
主备倒换
在已经完成备份的NSR系统 AMB 发生故障时， SMB 会通过硬件状态感知到 AMB 故障，并成为新的 AMB 。 SMB 升主后，该单板会切换接口板的报文上送通道。由于倒换时间足够短，路由协议在主备切换的过程中不会和邻居节点断连。
完成批量备份，进入冗余保护状态的系统，当 AMB 发生软件或硬件故障后， SMB 会从底层硬件感知到 AMB 的故障，并自[……]

READ MORE

问题描述
通常，在同个网段内的所有主机中，其都设置相同的、以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关，再由网关进行转发，从而实现主机与外部网络的通信，即：局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络；
但是当网关发生故障时，本网段内所有以网关为缺省路由的主机将无法与外部网络通信，那么所有用户终端访问外部网络的流量将会中断；
增加出口网关是提高系统可靠性的常见方法，通过部署多个网关的方式来解决单点故障；
但是需要解决多个网关之间的冲突问题，此时如何在多个出口之间进行选路就成为需要解决的问题；
解决方案
VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）的出现很好的解决该问题，既能够实现网关的备份，又能解决多个网关间互相冲突的问题，从而提高网络可靠性；
原理简述

在不改变组网的情况下： 1）VRRP 能够将多台路由设备组成一个虚拟路由器，客户端将配置虚拟路由器的 VIP（虚拟网络地址）为默认网关，与外部网络通信； 2）当网关设备发生故障时，VRRP 机制能够选举新的网关设备，并迁移 VIP 至新设备，以承担数据流量，从而保障网络的可靠通信；

该示例中，通过 VRRP 技术，两台路由器合并为一台逻辑路由器，并提供 VIP 192.168.1.254 作为网关地址；
特性说明
冗余备份：VRRP 将多台路由设备配置为缺省网关路由器，当出现单点故障的时候通过备份链路进行业务传输，从而降低网络故障的可能性，保证用户的各种业务不中断传输； 负载分担：VRRP 可以实现多台设备同时承担业务流量，从而减轻主用设备上数据流量的承载压力，在路由设备之间更均衡地分担流量； 联动功能：VRRP 联动可以监视上行链路的故障。当上行接口或链路故障时，VRRP 备份组的 Master 设备降低优先级，重新进行选举，确保 Master 路由器为最佳的 VRRP 路由设备，保证流量的正常转发。VRRP 与 BFD 联动可以提高 VRRP 备份组中主备设备的切换速度。利用 BFD 检测速度快的特点，在 Master 设备和 Backup 设备之间建立 BFD 会话并与 VRRP 备份组进行绑定，实现 Master 设备和 Backup 设备之间的链路出现故障时，Backup 设备迅速切换为 Master，承担网络流量；
应用场景
负载分担
创建多个 VRRP Group 并为每个组使用不同的 VIP 地址，且不同用户使用不同 VIP 作为网关；

监视上行端口
如果用户未配置 VRRP 监视上行端口，则当 VRRP 备份组中的 Master 设备 R1 的上行接口或者链路出现[……]

READ MORE

VRRP Router
是指运行 VRRP 协议的路由器，如图 R1 和 R2 设备。VRRP 是配置在路由器的接口上的，而且也是基于接口来工作的；
VRID & VRRP Group
VRID（Virtual Router Identifier，虚拟路由器标识符）、VRRP Group（虚拟路由器冗余协议组）：
1）通过 VRID 来表示路由器； 2）具有相同 VRID 的多台路由器（的接口）属于同个 VRRP Group； 3）属于同个 VRRP Group 的路由器间，通过交互 VRRP 协议报文并产生一台虚拟路由器； 4）在同个 VRRP Group 中，只能出现一台 Master Router 角色；
Virtual Router
Virtual Router（虚拟路由器）： 1）VRRP 为每个 VRRP Group 抽象出一台 Virtual Router（虚拟路由器） 2）该路由器并非真实存在的物理设备，而是由 VRRP 虚拟出来的逻辑设备； 3）同个 VRRP Group 只会产生一台 Virtual Router 设备；
VIP & VMAC
VIP（Virtual IP Address）、VMAC（Virtual MAC Address）： 1）Virtual Router 拥有自己的 IP Address（VIP）以及 MAC Address（VMAC）； 2）其中 VIP 由网络管理员在配置 VRRP 时指定；一台 Virtual Router 可有多个 VIP；通常情况用户使用该地址作为网关地址； 3）其中 VMAC 的格式是“0000-5e00-01xx”，其中 xx 为 VRID 值；
Master Router
Master Router（主路由器）： 1）在每个 VRRP Group 中，只有 Master Router 才承担报文转发任务； 2）在每个 VRRP Group 中，只有 Master Router 才会响应针对 VIP 的 ARP Request； 3）Master Router 会以一定的时间间隔周期性地发送 VRRP 报文，以便通知同个 VRRP Group 的 Backup Router 关于自己的存活情况；
Backup Router
Backup Router（备路由器）： 1）Backup Router 将会实时侦听 Master Router 发送出来的 VRRP 报文，它随时准备接替 Master Router 的工作；
Priority
Priority： 1）是选举 Master Router 和 Backup Router 的依据； 2）优先级取值范围 0-255，值越大越优先。如果值[……]

READ MORE

VRRP 只有一种报文，即 Advertisement 报文
基于组播方式发送（组播地址为 224.0.0.18），所以只能在同一个广播域传递；
Advertisement（Multicast）

+——————————————-+
| Ethernet Header | IP Header | VRRP Packet |
+——————————————-+

DMAC: 01-00-5E-00-00-12（组播 MAC 地址）
SMAC: 00-00-5E-00-01-XX（虚拟路由器 MAC 地址）

DIP: 224.0.0.18
SIP: Master Router 端口的 IP 地址

Protocol: 0x70（协议号为 112）

报文格式

Ver：VRRP 目前有两个版本，其中 VRRPv2 仅适用于 IPv4 网络，VRRPv3 适用于 IPv4 和 IPv6 两种网络； Virtual Rtr ID：VRID，该报文所关联的虚拟路由器的标识； Priority：发送该报文的 VRRP Router 的优先级； Count IP Addrs：该 VRRP 报文中所包含的 VIP 的数量； Auth Type：VRRP 支持三种认证类型：0：不认证；1：纯文本密码认证；2：MD5 方式认证； Adver Int：发送 VRRP Advertisement 消息的间隔。默认为 1 秒； IP Address：所关联的虚拟路由器的 VIP，可以为多个； Authentication Data：验证所需要的密码信息；[……]

READ MORE

当优先级不等时
R1 的接口 VRRP 优先级为 200，R2 的接口 VRRP 优先级为 100： 1）当两台设备完成初始化后，首先切换至 Backup 状态，并等待 Master Router 的 VRRP 报文； 2）R1 与 R2 根据各自 MASTER_DOWN 定时器超时时间，由 Backup 切换到 Master 状态，所以 R1 比 R2 更快切换至 Master 状态； 3）R1 和 R2 通过相互发送 VRRP 报文进行 Master 选举，优先级高的被选举为 Master 设备，因此 R1 被选为 Master Router； 4）R1 被选举为 Master Router 后，立即发送 Gratuitous ARP 报文将 VMAC 通告给与它连接的设备和主机;
初始创建 VRRP 的设备工作在 Initialize 状态，收到接口 Up 的消息后，若此设备的优先级小于 255，则会先切换至 Backup 状态，等待 MASTER_DOWN 定时器超时后再切换至 Master 状态； 如果优先级高的设备先启动，优先级低的设备后启动，则优先级高的设备先进入 Master 状态，优先级低的设备收到高优先级的 VRRP 通告报文，自己仍处于 Backup 状态； 如果优先级低的设备先启动，优先级高的设备后启动，则优先级低的先由 Backup 状态切换为 Master 状态，优先级高的设备收到优先级低的 VRRP 通告报文，重新进行选举，将优先级高的设备切换为 Master 状态。
当优先级相等时
R1（192.168.1.251/24）与 R2（192.168.1.252/24）的 GE0/0/0 接口 VRRP 优先级都是 200： 1）两台设备完成初始化后首先切换至 Backup 状态； 2）由于优先级相同，R1 与 R2 的 MASTER_DOWN 定时器超时后，同时由 Backup 状态切换至 Master 状态。 3）R1 与 R2 交换 VRRP 报文，优先级一样，通过比较接口 IP Address 选举 Master Router，由于 R2 的接口 IP 地址大于 R1 的接口 IP 地址，因此 R2 被选举为 Master Router； 4）R2 被选举为 Master 路由器后，立即发送 Gratuitous ARP 报文将 VMAC 通告给与它连接的设备和主机；
当配置 VIP 为接口地址时
通常情况下，VRRP 路由器的接口 IP 地址不会与虚拟路由器的 IP 地址重叠，也就是说我们会为虚拟路由器单独规划一个 IP 地址，而不会使用某台路由器的接口 IP 地址；
当然也存在特殊的情况，例如在某些网络中 IP 地址资源比较紧缺，那么也有可能会将某台路由器的接口 IP Ad[……]

READ MORE

Master Router ⇒ Backup Router
Master主动退出VRRP组
当Master设备主动放弃Master地位（如Master设备退出备份组）时，会发送 Priority=0 的通告报文，用来使Backup设备快速切换成 Master 设备，而不用等到MASTER_DOWN定时器超时。这个切换的时间称为Skew_time。
Master设备或者链路故障
当Master设备发生网络故障而不能发送通告报文的时候，Backup设备并不能立即知道其工作状况。等到MASTER_DOWN定时器超时后，才会认为Master设备无法正常工作，从而将状态切换为Master。

切换时间为 (3* ADVER_INTERVAL)+ Skew_time
Backup Router ⇒ Master Router
在 R1 正常情况下，由Master设备负责转发用户报文，如图所示，所有用户流量通过R1到达Internet。 当 R1 出现故障时，网络会重新进行VRRP主备选举，如图所示，此时R2会成为新的Master设备负责转发用户报文。 当 R1 恢复运行后，网络将重新进行VRRP主备选举，由于R1的优先级大于R2，所以R1又重新成为新的Master设备负责转发用户报文。
VRRP Preempt Mode（抢占模式）
抢占模式（默认激活）： 如果Backup路由器激活了抢占功能，那么当它发现Master路由器的优先级比自己更低时，它将立即切换至Master状态，成为新的Master路由器
非抢占模式： 如果Backup路由器没有激活抢占功能，那么即使它发现Master路由器的优先级比自己更低，也只能依然保持Backup状态，直到Master路由器失效。
开启抢占模式的场景： 1）当 VRRP 使用负载分担时，建议开启抢占；
Delay Time
在抢占模式下，当 Master Router 状态不稳定 或 网络质量差 时，会影响 Backup 对 Master 的状态判断，进而导致 VRRP 备份组频繁切换，从而引发终端 ARP 表项频繁刷新。
为缓解此问题，通常设置抢占延时定时器，通过 MASTER_INTERVAL 定时器超时时间加上延时时间，确定状态稳定后，再进行主备回切。
在 Backup 中，进行时延配置：此时 Master 故障，Backup 准备抢占，如果高负载会影响 VRRP 接收，所以通过时延，尽量确定是 Master 故障再切换；
在 Master 中，进行时延配置：此时 Backup 正常，Master 恢复正常，建议使用较久的时延，确保自身学习到 IGP 路由，再进行切换，否则会丢包；
开启抢占模式的 VRR[……]

READ MORE

VRRP & BFD
问题描述
当 VRRP 备份组之间的链路出现故障时，由于此时 VRRP 报文无法正常交互，Backup 设备需要等待 Master_Down_Timer 计时器超时后才会切换为 Master 设备，在等待切换期间内，业务流量仍会发往 Master 设备，此时会造成业务流量丢失；
解决方案
在 Master Router 和 Backup Router 间，通过建立 BFD 会话并与 VRRP 备份组进行绑定（配置 VRRP 与 BFD 联动），由 BFD 机制快速检测 VRRP 备份组之间的通信故障，当 Backup 设备通过 BFD 感知故障发生后，不再等待 Master_Down_Timer 计时器超时，而会在 BFD 检测周期结束后及时通知 VRRP 备份组进行主备切换，在出现故障时立即切换 VRRP 状态，从而大大减少应用中断时间。，此时可以实现毫秒级的主备切换；

这是另种 VRRP 与 BFD 联动场景，目的是快速发现 Master 故障；
在普通 BFD 联动中，VRRP 备份组会根据 BFD 会话的状态进行优先级调整，并根据调整后的优先级判断是否进行主备切换。在实际应用中，通常 Master 设备配置延时抢占，而 Backup 设备配置立即抢占，当 Backup 设备检测到 BFD 会话状态出现 DOWN 后，通过增加自身优先级大于 Master 优先级实现快速切换，当故障排除，BFD 会话状态出现 UP 时，新的 Master 通过减小自己的优先级，发送 vrrp 通告报文，经过延迟时间后再次切换为 Backup；[……]

READ MORE

配置两个 VRRP Group，并为 Client 使用不同的网关，实现负载分担；
基础配置

################################################################################ for AR4

interface GigabitEthernet0/0/0
ip address 192.168.0.4 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.0.1
vrrp vrid 1 priority 200
vrrp vrid 2 virtual-ip 192.168.0.2

<AR4>display vrrp brief
Total:2 Master:1 Backup:1 Non-active:0
VRID State Interface Type Virtual IP
—————————————————————-
1 Master GE0/0/0 Normal 192.168.0.1
2 Backup GE0/0/0 Normal 192.168.0.2

################################################################################ for AR5

interface GigabitEthernet0/0/0
ip address 192.168.0.5 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.0.1
vrrp vrid 2 virtual-ip 192.168.0.2
vrrp vrid 2 priority 200

<AR5>display vrrp brief
Total:2 Master:1 Backup:1 Non-active:0
VRID State Interface Type Virtual IP
—————————————————————-
1 Backup GE0/0/0 N[……]

READ MORE

问题描述
通过结合 VRRP 与 MSTP 技术，实现负载分担与链路容易。
该过程的重点是：对于同个 VLAN，要保证 VRRP 的 Master Router 与 MSTP Root Bridge 在同个设备上。
实验环境

部署 MSTP 环境

# for SW2 SW3 SW4
stp region-configuration
rigion-name demo01
revsion-level 1
instance 1 vlan 10
instance 2 vlan 20
active regin-configuration

# for SW4
stp instance 1 root primary
stp instance 2 root secondary

# for SW2
stp instance 1 root secondary
stp instance 2 root primary

部署 VRRP 环境

# for SW2

interface Vlanif10
ip address 192.168.10.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254

interface Vlanif20
ip address 192.168.20.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.20.254
vrrp vrid 1 priority 200

# for SW4

interface Vlanif10
ip address 192.168.10.4 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254
vrrp vrid 1 priority 200

interface Vlanif20
ip address 192.168.20.4 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.20.25[……]

READ MORE

QoS 技术应用 FEC 技术应用[……]

READ MORE

问题描述
传统的路由转发原理是首先根据报文的目的地址查找路由表，然后进行报文转发。随着业务的发展，用户更加希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。
例如，双 ISP 接入的企业，想要实现 LAN-A 访问 Internet 通过 ISP1、LAN-2 访问 Internet 通过 ISP2，该需求无法通过传统的路由技术实现：

解决方案
PBR（Policy-Based Routing，策略路由）：通过 PBR 技术，网络设备不仅能够基于报文的 DST-IPAddress 进行数据转发，更能基于其他元素进行数据转发（例如 SRC-IPAddress、SRC-MACAddress、DST-MACAddress、SRC-Port、DST-Port、VLAN-ID 等等）
注意，PBR 是种技术，而实现这种技术的方法有很多： 1）华为，通过 policy-based-route 实现（初级，简单）； 2）华为，通过 MQC 实现 PBR 技术；
原理简述
通过规则匹配数据包，然后对数据包执行策略。
特性特征
若设备部署 PBR，则被匹配的报文优先根据 PBR 的策略进行转发，即 PBR 策略的优先级高于传统路由表。
建议 PRB 优先与 IP Routing Table，所以即使仅有 PBR 条目（且无路由条目）也能够完成数据转发。
应用场景
多个网络出口（为局域网选择不同的出口线路）： 1）当企业存在多个网络出口时，若想指定部分网段访问Internet时的网络出口， 2）可以使用 PBR：在出口设备的内网接口配置PBR，匹配来自内网的流量，为其指定不同的下一跳公网地址。

内网防火墙旁挂（企业不愿修改当前网络拓扑）： 1）内网防火墙旁挂部署在核心交换机，为防护内网在核心交换机的三层接口上部署PBR，将来自外部网络的流量牵引到防火墙上进行安全检查，检查完的流量再发送回核心交换机，由核心交换机依据路由表转发到内网。 2）将流量牵引到别的设备进行安全检查等类似的行为，我们称之为“引流”，PBR是一种常见的引流工具。[……]

READ MORE